简陋的ESET HIPS

ysj963

fireherman 发表于 2016-10-28 10:54
人家@qftest  已经给了你啊，麻烦认认真真地看完人家呕心沥血写出来的帖子好吗？

记住要手动 ...

他的帖子 防注入是全局，我不想弹窗太多，只想保护系统几个重要程序，其他应用程序不管了。

qftest

ysj963 发表于 2016-10-28 10:49
请问下 ，在智能模式下我还需要自己制定规则保护系统重要应用程序防注入吗？我不太清楚有哪些关键程序需 ...

看楼主似乎刚接触hips不长时间，还是建议先熟悉下再定制规则，最好是在虚拟机玩不要在实机玩
我以前玩各种软件的hips规则，至少把虚拟机玩得或死机重启或崩溃蓝屏不下100次，才慢慢学会怎么弄规则——也许跟我智商低有关？
防注入并不区分什么“关键程序”，只区分“已知的安全程序”与“未知的风险程序”，目的就是防范“未知的风险”注入“已知的安全程序”，从这个角度说，所有“已知的安全程序”都需要这层保护以防止被“未知的风险程序”注入利用，最明显的例子就是explorer、svchost、services、conhost等等

qftest

fireherman 发表于 2016-10-28 10:23
自动模式：自保规则 > 用户自定义规则 > 允许

智能模式：自保规则 > 用户自定义规则 > 内部规则（ ...

这几个模式我没分别深入测试过，所以不太清楚
平时只用交互模式，规则基本写好后就换用带规则的自动模式

ysj963

qftest 发表于 2016-10-28 10:59
看楼主似乎刚接触hips不长时间，还是建议先熟悉下再定制规则，最好是在虚拟机玩不要在实机玩
我以前玩各 ...

我能够接受一部分风险，ESS10有自带系统保护规则吗，有的话我就不搞了。都怪360断网下就是废，不然我就不用这么没安全感了。

fireherman

qftest 发表于 2016-10-28 10:59
看楼主似乎刚接触hips不长时间，还是建议先熟悉下再定制规则，最好是在虚拟机玩不要在实机玩
我以前玩各 ...

我觉得楼主要摆正心态才是最关键的：

你使用HIPS的目的是为了保护系统安全

而不是操控系统的运作

fireherman

qftest 发表于 2016-10-28 11:01
这几个模式我没分别深入测试过，所以不太清楚
平时只用交互模式，规则基本写好后就换用带规则的自动模式

我还以为你会用【基于策略的规则模式】呢。

自保规则 > 用户自定义规则 > 默认阻止

qftest

fireherman 发表于 2016-10-28 11:04
我还以为你会用【基于策略的规则模式】呢。

自保规则 > 用户自定义规则 > 默认阻止

如果想禁运的话我直接ERP锁定模式+SSP自动拦截可疑行为就行了，效果比ESET hips的这个基于策略模式好得多

fireherman

qftest 发表于 2016-10-28 11:14
如果想禁运的话我直接ERP锁定模式+SSP自动拦截可疑行为就行了，效果比ESET hips的这个基于策略模式 ...

但你不是用 EEA / EES 的么？

这个【基于策略的规则模式】（包括HIPS/防火墙），我觉得就是给使用企业版用的：

避免下属用公司的电脑干私事：

只允许运行特定的程序/特定的通信，例如Office（工作用），例如浏览器（只允许访问公司主页/公司邮箱）

这条规则……根本就是给（小）企的老板量身定制的。

qftest

ysj963 发表于 2016-10-28 11:01
我能够接受一部分风险，ESS10有自带系统保护规则吗，有的话我就不搞了。都怪360断网下就是废，不然我就不 ...

360国内版很久没用了不太清楚，但国际版TES的防注入成绩绝对没有ESET的好，目前就我个人的测试结果来看防注入成绩仍然是ESET第一KES第二（如果不考虑VIPRE疯狂拦截的话）
ESS10没用过不清楚

ysj963

fireherman 发表于 2016-10-28 11:02
我觉得楼主要摆正心态才是最关键的：

你使用HIPS的目的是为了保护系统安全

不是啊我只是要保护一些关键服务、文件和程序，我手动删除个注册表都没反应，万一误删除怎么办呢。